Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Python-Pip

Betroffene Plattformen:

SUSE Linux Enterprise Module for Public Cloud 12
SUSE Linux Enterprise Software Development Kit 12
SUSE OpenStack Cloud Compute 5

Eine Schwachstelle ermöglicht einem entfernten, nicht authentifizierten
Angreifer das Umgehen von Sicherheitsvorkehrungen.
Für verschiedene SUSE Produkte, wie auch das SUSE Linux Enterprise Software
Development Kit 12 stehen Sicherheitsupdates für die python-setuptools zur
Verfügung.

Patch:

SUSE Security Update SUSE-SU-2015:1298-1

https://www.suse.com/support/update/announcement/2015/suse-su-20151298-1.html

CVE-2013-7440: Schwachstelle in Python-Pip beim Umgang mit
Wildcard-Zertifikaten

Eine Schwachstelle in Pythons SSL-Hostnamen-Überprüfung besteht aufgrund der
nicht RFC 6125 konformen Umsetzung der Prüfung, wenn der Hostname Wildcards
enthält. Ein entfernter, nicht authentisierter Angreifer kann dies nutzen,
um mittels eines manipulierten Wildcard-Zertifikats den
Sicherheitsmechanismus der Hostnamen-Prüfung auszuhebeln und die Integrität
und Vertraulichkeit des Systems einzuschränken.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1151/

Schwachstelle CVE-2013-7440 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7440

SUSE Security Update SUSE-SU-2015:1298-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151298-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.